Active Directory 複製失敗，訪問被拒絕

我最近發現大約一個月前 Active Directory 複製開始失敗。如果我嘗試Replicate Now從失敗的域控制器，我收到The following error occurred during the attempt to synchronize the domain controllers: Access is denied.

目錄服務日誌講述的故事基本相同；重複兩個事件

• 1061：內部錯誤：目錄複製代理 (DRA) 呼叫返回錯誤 5。
• 1085：複製警告：目錄複製代理 (DRA) 無法將分區 DC=OUR_DOMAIN 與目錄伺服器 big-long-guid._msdcs.OUR_DOMAIN 上的分區同步。錯誤是：訪問被拒絕

它位於遠端站點的兩台伺服器之間。一種是Windows 2003，一種是Windows 2000；Windows 2000 機器遇到錯誤。域是較舊的 OUR_DOMAIN 樣式。

迄今為止的嘗試：

• 我在 Windows 2000 伺服器上禁用了 Kerberos 服務並重新啟動
• RPC 和 RPC 定位器服務具有預期的設置
• HKEY_Local_Machine\Software\Microsoft\Rpc\ClientProtocols``ncacn_nb_tcpWindows 20003 伺服器上缺少（添加）
• Portqry 報告正常
• 防火牆已禁用
• netdom resetpwd（並重新啟動）在 Windows 2000 伺服器上。
• ENTERPRISE DOMAIN ADMINS對兩台伺服器上的站點都具有讀取權限
• dcdiag /c2003 年：通過除 DNS 轉發之外的所有內容；與根提示伺服器相關的幾個錯誤，似乎無關緊要
• dcdiag /c2000 年：說複製失敗（duh）（3 份報告）然後通過測試（？）報告 IISADMIN 和 SMTPSVC 失去（不明白為什麼需要它們）列出 kccevent 的一些錯誤事件（事件查看器中的那些在哪裡?) 以及系統日誌中的一些列印機錯誤。

系統、身份驗證或目錄服務事件日誌中是否存在任何相關錯誤？伺服器上的 dcdiag 和/或 netdiag 是否提供任何線索？企業域控制器是否對 AD 站點和服務中的站點具有讀取權限？只需檢查和詢問相同的基本問題，因為這可能是由任何數量的事情引起的。至少，我希望在您強制複製時會記錄某種錯誤或身份驗證失敗。您可能希望增加審計以進行故障排除。

引用自：https://serverfault.com/questions/133883